サウスバウンド トラフィック用の TLS 1.3 の構成

このページでは、Apigee Message Processor でサウスバウンド トラフィック用に TLS 1.3 を構成する方法について説明します。 (Message Processor とバックエンド サーバー間のトラフィック)。

Java での TLS 1.3 機能の詳細については、以下をご覧ください。 JDK 8u261 アップデート リリースノート

TLS 1.3 を有効にする手順は、使用している Java のバージョンによって異なります。詳しくは、 <ph type="x-smartling-placeholder"></ph> インストールされている Java のバージョンを確認するには、以下の Message Processor の Java のバージョンを確認します。 作成されます。

TLS v1.3 と Java のバージョン

TLS 1.3 機能は、Java の次のバージョンで導入されました。

  • Oracle JDK 8u261
  • OpenJDK 8u272

次の Java バージョンには TLS v1.3 機能がありますが、デフォルトでは有効になっていません。 使用する場合:

  • Oracle JDK 8u261 以降、Oracle JDK 8u341 未満
  • OpenJDK 8u272 以降かつ OpenJDK 8u352 未満

これらのバージョンのいずれかを使用している場合は、TLS v1.3 を有効にする必要があります。詳しくは デフォルトで有効になっていない場合に TLS v1.3 を有効にする方法をご覧ください。

次のいずれかのバージョンを使用している場合、TLS v1.3 はデフォルトで有効になっています (Message Processor はクライアントとして機能し、 下り(外向き)TLS 接続の場合)、特に何もする必要はありません。

  • Oracle JDK 8u341 以降
  • OpenJDK 8u352 以降

TLS v1.3 が機能するには、次の条件がすべて満たされる必要があります。

  • Message Processor 上の基盤となる Java は、TLS v1.3 をサポートする必要があります。
  • Message Processor 上の Java で TLS v1.3 を有効にする必要があります。
  • Message Processor アプリケーションで TLS v1.3 を有効にする必要があります。

Java で TLS v1.3 がデフォルトで有効になっていない場合に有効にする方法。

このセクションでは、次のいずれかを使用している場合に TLS v1.3 を有効にする方法について説明します。 次のとおりです。

  • Oracle JDK 8u261 以降、Oracle JDK 8u341 未満
  • OpenJDK 8u272 以降かつ OpenJDK 8u352 未満

Message Processor で、Java プロパティ jdk.tls.client.protocols を設定します。 値はカンマで区切られ、1 つ以上の TLSv1TLSv1.1TLSv1.2TLSv1.3SSLv3

たとえば、-Djdk.tls.client.protocols=TLSv1.2,TLSv1.3 を設定すると、クライアントが プロトコル TLSv1.2TLSv1.3

その他の変更 JVM プロパティを Edge コンポーネントで JVM プロパティを設定する方法について説明します。

TLS v1、v1.1、v1.2、v1.3 プロトコルを有効にするには:

  1. 次のように構成します: Message Processor 構成ファイルを (/opt/apigee/customer/application/message-processor.properties): 
       bin_setenv_ext_jvm_opts=-Djdk.tls.client.protocols=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
  2. Message Processor を再起動します。
&gt;

TLS v1.3 がデフォルトで有効になっている場合に無効にする方法

Oracle JDK 8u341 以降または OpenJDK 8u352 以降を使用している場合、TLSv1.3 は、 デフォルトで使用されます。 このような場合に TLS v1.3 を無効にするには、次の 2 つの方法があります。

  • ターゲット サーバーの SSLInfo を構成し、 プロトコル リスト。詳しくは、 <ph type="x-smartling-placeholder"></ph> TLS/SSL TargetEndpoint 構成要素注: ターゲット サーバーの構成でプロトコルが指定されていない場合は、 クライアント handshake でオプションとして送信されます。
  • プロトコルを完全に無効にして、Message Processor で TLS v1.3 を無効にします。詳しくは、 <ph type="x-smartling-placeholder"></ph> Message Processor で TLS プロトコルを設定する

Message Processor で Java のバージョンを確認する

Message Processor にインストールされている Java のバージョンを確認するには、Message Processor にログインします 次のコマンドを実行します。 

java -version

以下のサンプル出力は、OpenJDK 8u312 がインストールされていることを示しています。

$ java -version
openjdk version "1.8.0_312"
OpenJDK Runtime Environment (build 1.8.0_312-b07)
OpenJDK 64-Bit Server VM (build 25.312-b07, mixed mode)

サポートされている暗号

現在、Java 8 は 2 つの TLS v1.3 暗号をサポートしています。

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

openssl を使用すると、ターゲット サーバーが TLS v1.3 と、少なくとも 1 つの 使用します。この例では、openssl11 ユーティリティを使用しています。このユーティリティには、 TLS v1.3 が有効になっている。

$ openssl11 s_client -ciphersuites "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256" -connect target_host:target_port -tls1_3